PDF de programación - Requerimientos de seguridad y calidad en el manejo de información a través de canales de distribución de productos y Servicios Financieros

Requerimientos de seguridad y
Requerimientos de seguridad y
calidad en el manejo de
calidad en el manejo de
n a travéés de canales
informacióón a trav
s de canales
informaci
de distribucióón de productos y
n de productos y
de distribuci
Servicios Financieros
Servicios Financieros
(Proyecto de Circular – Junio 2007)

Conferencista:
Conferencista:
Pablo A. Malagóón T.
n T.
Pablo A. Malag

Agenda
Agenda

1.1. Antecedentes
Antecedentes
Sistema de Administracióón de Riesgos
2.2. Sistema de Administraci
n de Riesgos
Operativos (SARO)
Operativos (SARO)
3.3. Requerimientos del proyecto de Norma
Requerimientos del proyecto de Norma
Consideraciones
–– Consideraciones
–– ÁÁmbito de aplicaci
Estructura del proyecto
–– Estructura del proyecto

mbito de aplicacióón n

2

1. Antecedente -- Transaccionalidad
Transaccionalidad
1. Antecedente

(millones)
(millones)

10 0

111

10 3

14 9

12 9

112

3 0 6

19 4

179

4 8 8

4 55

4 2 6

53 6

50 4

3 9 4

0

10 0

2 0 0

3 0 0

4 0 0

5 0 0

6 0 0

2 0 0 4

2 0 0 5

2 0 0 6

3

A U D I OR ES P U ES TA

P OS o

D A TÀFON OS

I N TER N ET

C A J ER OS

A U TOM ÁTI C OS

OFI C I N A S

Fuente:

SFC

Antecedente -- Quejas
Quejas
Antecedente

Reclamaciones ante la SFC

X4 = 4.308

2.007

1.077

3.015

4,093

2.006

3.161

16.651

2.005

1.804

16.355

19,812

18,159

-

2.000

4.000

6.000

8.000

10.000

12.000

14.000

16.000

18.000

20.000

MEDIOS ELECTRÓNICOS

OTROS MOTIVOS

• Fuente:
SFC - Sistema FED (Flujo electrónico documental).
• El dato para 2007 corresponde al acumulado al primer trimestre.
• Medios electrónicos incluye: ATM, Internet, POS és de datáfono, débito a cuenta sin autorización de titular, falla

en

red de oficina, reclamo por audiorespuesta, reclamo por internet y retiro en
cajero

4

Antecedente -- Quejas
Quejas
Antecedente

A U D I OR ES P U ES TA

( 3 6 ) 1%

P OS ( 15 7 ) 5 %

I N TER N ET ( 4 5 7 ) 14 %

A C H 0 %

D ÉB I TO A U TOM ÁTI C O

( 5 ) 0 %

OFI C I N A S ( 3 1) 1%

R eclamo s po r
o peracio nes
electró nicas:

año 2006

A TM ( 2 , 4 7 5 ) 7 9 %

5

2. Sistema de Administracióón de Riesgos
n de Riesgos
2. Sistema de Administraci

Operativos (SARO)
Operativos (SARO)

Riesgo Operativo

Es la posibilidad de incurrir en pérdidas por deficiencias,
fallas o inadecuaciones en el recurso humano, los
procesos, la tecnología, la infraestructura o por la
ocurrencia de acontecimientos externos.

Esta definición incluye el riesgo legal y reputacional
asociados al los factores de riesgo operativo.

6

Factores
Factores

Clasificacióón de Eventos
n de Eventos
Clasificaci

• Recurso humano

• Procesos

• Tecnología

• Infraestructura

• Externos

• Fraude interno
• Fraude externo
• Relaciones laborales
• Clientes
• Daños de activos

físicos

• Fallas tecnológicas
• Ejecución y Admon.

de procesos

7

Etapas del SARO
Etapas del SARO

• Alistamiento y preparación: estructura, políticas,

objetivos, alineación con planes estratégicos.
Identificación R.O.: todos los procesos.

•
• Medición: cualitativa/cuantitativa. Perfil de riesgo

Inherente

• Control: Planes de acción y Adm. continuidad del

negocio.

• Monitoreo: evaluar efectividad de los controles y

seguimiento a niveles de riesgo residual.

8

Elementos del SARO
Elementos del SARO

• Políticas, objetivos: cultura y compromiso.
• Procedimientos: operación de SARO.
• Documentación: soporte a la gestión.
• Estructura organizacional:

– Junta Directiva
– Representante legal
– Unidad de Riesgo Operativo
–– Funcionarios
Funcionarios

9

Elementos del SARO
Elementos del SARO

• Registro de eventos: todos.
• Órganos de control: evaluación del SARO.
• Plataforma tecnológica: sistemas necesarios.
• Divulgación de la información: revelación de la

gestión del RO.

• Capacitación: periódica para todos los

funcionarios.

10

3. Requerimientos del proyecto de Norma
3. Requerimientos del proyecto de Norma

Consideraciones
–– Consideraciones
–– ÁÁmbito de aplicaci
Estructura del proyecto
–– Estructura del proyecto

mbito de aplicacióón n

11

Consideraciones
Consideraciones

Medidas tendientes a:

• Actualizar la normatividad vigente.
•• Mitigar los riesgos

Mitigar los riesgos asociados a los medios y
canales de distribución de productos y servicios.

• Mejorar el servicio en la atención al cliente.
• Proteger al consumidor financiero.
• Incrementar la confianza en el sector financiero.

12

ÁÁmbitombito de aplicaci

de aplicacióónn

Las instrucciones de que trata el presente numeral deberán ser
adoptadas por todas las entidades sometidas a la inspección y
vigilancia de la Superintendencia Financiera de Colombia
(SFC), con excepción de las siguientes entidades:

–Fondo de Garantías de Instituciones Financieras “Fogafin”,
–Fondo de Garantías de Entidades Cooperativas “Fogacoop”
–Fondo Nacional de Garantías S.A. “F.N.G. S.A.”
–Fondo Financiero de Proyectos de Desarrollo “Fonade”
–Los Almacenes Generales de Depósito
–Los Fondos de Garantía que se constituyan en el mercado público de valores
–Los Fondos Mutuos de Inversión
–Los Fondos Ganaderos
–Las Sociedades Calificadoras de Valores y/o Riesgo
–Las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior
–Los Corredores de Seguros y de Reaseguros
–Los Comisionistas Independientes de Valores
–Las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación
–las Entidades Administradoras del Régimen de Prima Media con prestación definida, excepto
aquellas que se encuentran autorizadas por la ley para recibir nuevos afiliados

13

Estructura del Proyecto
Estructura del Proyecto

• Definiciones.
• Obligaciones Generales:
– Seguridad y Calidad.
– Documentación.
– Divulgación.

• Obligaciones adicionales por tipo de canal.
• Reglas de actualización del software.
• Obligaciones por tipo de medio – Tarjetas.
• Análisis de Vulnerabilidades.

14

Estructura del Proyecto -- Definiciones
Estructura del Proyecto
Definiciones

Criterios de Seguridad de la información

cuya divulgación no está autorizada.

a) Confidencialidad: Hace referencia a la protección de información
b) Integridad: La información debe ser precisa, coherente y completa
c) Disponibilidad: La información debe estar en el momento y en el

desde su creación hasta su destrucción.

formato que se requiera ahora y en el futuro, al igual que los recursos
necesarios para su uso.

Criterios de Calidad de la información

oportuna, correcta y consistente.

a) Efectividad: La información relevante debe ser pertinente y su entrega
b) Eficiencia: El procesamiento y suministro de información debe hacerse
c) Confiabilidad: La información debe ser la apropiada para la

utilizando de la mejor manera posible los recursos.

administración de la entidad y el cumplimiento de sus obligaciones.

15

Estructura del Proyecto -- Definiciones
Estructura del Proyecto
Definiciones

Cifrado fuerte

Técnicas de cifrado, con algoritmos de robustez reconocidos
internacionalmente, que proporcionan una adecuada relación
entre el nivel de procesamiento y la seguridad requerida por la
información.

Operación

El conjunto de acciones que permiten el intercambio de datos a
través de los canales de distribución, como por ejemplo, una
consulta de saldo, cambio de clave, actualización de datos
básicos del cliente, etc. y que no implican movimiento de dinero.

Las acciones que permiten movimiento de dinero (transacciones)
tales como: retiros, transferencias, depósitos, pagos, etc.

16

Obligaciones Generales: Seguridad y Calidad
Obligaciones Generales:

Seguridad y Calidad (1)(1)

• Gestionar la seguridad de la información Podrán tener como

referencia los estándares ISO 17799 y 27001

• La información confidencial enviada a los clientes por e-mail  cifrada

y libre de software malicioso

• Evitar el uso de claves compartidas, genéricas o para grupos. La

identificación y autenticación en los dispositivos y sistemas de cómputo
deberá ser única y personalizada.

• Brindar la posibilidad de identificación con otros mecanismos de

autenticación.

• Permitir a los clientes personalizar las condiciones bajo las cuales se les

prestará servicios.

17

Obligaciones Generales: Seguridad y Calidad
Obligaciones Generales:

Seguridad y Calidad (2)(2)

• Ofrecer la posibilidad de manejar una contraseña diferente por canal.
• Brindar la posibilidad inmediata de cambiar la clave de la tarjeta

débito en el momento que el cliente lo considere necesario.

• Elaborar el perfil de las costumbres transaccionales de sus clientes.
• Segregación de funciones del personal que administre, opere,
mantenga y, en general, tenga la posibilidad de acceder a los
dispositivos y sistemas usados en los distintos canales.

• Sincronizar los relojes (SIC).
• Considerar la atención de personas que pudieran requerir una
atención especial, con el fin de que no se vea menoscabada la
seguridad de su información.

18

Obligaciones Generales: Seguridad y Calidad
Obligaciones Generales:
Seguridad y Calidad(3)(3)

• Tercerización – Outsourcing:

– Criterios de selección
– Plan de contingencia del servicio convenido
– Contratos  niveles de servicio, acuerdos de confidencialidad,
propiedad de la información, normas de seguridad informática y
física , procedimientos para cuando hay evidencia de alteración o
manipulación de equipos o información, y para la entrega y
destrucción de la información manejada.

– Implementar mecanismos de cifrado fuerte para el envío y
terceros

información confidencial con

recepción de
contratados.

los

19

Obligaciones Generales: Documentaci
Obligaciones Generales:

Documentacióónn

• Dejar constancia de las operaciones realizadas.
• Mantener estadísticas actualizadas de la prestación de

servicios a través de cada uno de los canales.

• Conservar to